2025.04 Note#25

資安動態

1. SSL/TLS憑證最長效期2029年將縮減成47天 : CA/Browser Forum（CA/B論壇）做出決議，所有SSL/TLS憑證最長效期將由現行398天縮短 9 成
   - 主要成員：包括 DigiCert、GlobalSign、Google、Apple、Mozilla 和 Microsoft
   - 2026年3月15日起，SSL/TLS憑證最長效期會縮短到200天，更新期將改為6個月更新一次
   - 2027年3月15日起，憑證最長效期會再短100天，3個月更新一次
   - 2029年3月15日，最長SSL/TLS憑證效期就會減至47天，每個月更新一次
2. Let’s Encrypt 自 2025 年 6 月 6 日起，將停止寄送憑證到期通知電子郵件 :官方表示，隨著自動化工具普及 (如 Certbot、acme.sh 等)，大多數用戶已能自動續期憑證，這些通知信對用戶幫助有限，反而容易因大量訊息造成混餚
   官方建議所有用戶盡快採用自動化憑證續期工具
3. 川普大砍行政預算，CVE與CWE專案的合約本周4月15日到期
4. 1. 美國網路安全暨基礎設施安全局（CISA）可能會裁撤一半的全職員工跟40%的承包商，波及1,300人
   2. CSO Online，MITRE從4月15日的午夜開始，就不再於CVE資料庫中添加紀錄，而會轉至GitHub
   3. 4.16日 合約將延長11個月(暫時) : MITRE感謝全球網路社群、相關行業、政府機關過去 24小時的聲援，並感謝美國政府認可MITRE的角色，他們將持續為全球提供CVE及CWE的服務。(另由一名CVE成員策畫一年的計畫，將CVE過渡成為獨立的非營利基金會)
4. 研究發現僅需修改 30 行Linux程式碼，目前大型資料中心最高可省下30%電力: 重新組織資料流和資料處理的方式
5. 1. 處理網路傳輸的「資料包」時，系統會透過輪詢機制檢查是否有新的數據包傳輸
   2. 不再以固定的時間間隔進行輪詢，而是根據應用程式的實際網路流量狀況動態調整。在高流量時期維持忙碌輪詢，而在低流量時期則恢復基於中斷的傳輸機制
   3. 2025.01月整合至 Linux 核心 6.13 版本中
   4. 希望無論是使用 nginx 或 Apache 都能參考採用
5. 後量子密碼遷移指引 : 114 年4月16日發布，後量子安全評測工具（PQ-SAT）即將釋出，目前可支援傳統加密演算法進行盤點安全等級
6. LLM資安，2025年OWASP新榜單出爐 導讀LLM應用程式的10大風險 :
7. 1. 實例1 台北捷運AI客服竟能提供程式碼範例，超出應有用途
      實例2 三星員工擅自將企業機敏資料上傳公用AI服務
      實例3 未查證即採用AI給的錯誤資訊，律師與開發者誤信添麻煩
   2.  OWASP十大LLM應用程式風險 
   LLM01:2025　提示詞注入（Prompt Injection）
   LLM02:2025　敏感資訊揭露（Sensitive Information Disclosure）LLM03:2025　供應鏈風險（Supply Chain）
   LLM04:2025　資料與模型投毒（Data and Model Poisoning）
   LLM05:2025　不當輸出處理（Improper Output Handling）
   LLM06:2025　過度代理授權（Excessive Agency）
   LLM07:2025　系統提示詞洩露（System Prompt Leakage）
   LLM08:2025　向量與嵌入弱點（Vector and Embedding Weaknesses）LLM09:2025　錯誤資訊（Misinformation）
   LLM10:2025　無限資源耗盡（Unbounded Consumption）

資安事故

1. 朱宗慶打擊樂團驚傳駭客勒索 1.6TB資料恐外洩 :
2. 1. 惡名昭彰的駭客勒索組織「肉瘤(Sarcoma)」昨天在暗網發布訊息，宣稱已成功入侵朱宗慶樂團網站，並竊取1.6TB資料，藉此向樂團勒索贖金
   2. Sarcoma是近期突然竄起的勒索軟體組織，目前資安界還在打探該組織的幕後操縱者身分通常採取雙重勒索策略，除了竊取機密資料，也會加密受害者系統，再連繫受害者，以公開資料脅迫企業支付贖金。
2. 又爆大型醫院遭駭客勒索　800G病歷資料恐外洩 (中壢長慎醫院)：
3. 1. NightSpire 成員曾發佈招聘訊息，尋找談判專家，並提供 20% 的利潤分成，顯示該組織正強化其勒索談判策略
   2. 導致網路掛號、初診、醫師開處方等功能停擺至今，預告將於 4 月 26日 起公開販售
   3. 4.22日資安業者竣盟科技揭露他們的調查結果，駭客聲稱握有13萬張含有病徵及個資的醫療影像、10萬份電子病歷文件，以及數百萬筆實驗室、X光、CT、MRI的記錄。而對於駭客入侵的手法，竣盟科技認為很有可能透過釣魚郵件、社交工程，也不排除是利用尚未修補的已知漏洞得逞
3. 權限提升及橫向移動，CrazyHunter則是運用名為SharpGPOAbuse的工具，竄改群組原則物件（GPO），而能於受害組織的網路環境部署惡意酬載，並試圖提升權限及橫向移動

工具

1. Arch Linux 將改用 Valkey 淘汰 Redis :
2. 1. Valkey is an open-source fork of Redis version 7.2.4
   2. This change is due to Redis modifying its license from BSD-3-Clause to RSALv2 and SSPLv1 on March 20th, 2024
2. OpenAI in talks to pay about $3 billion to acquire AI coding startup Windsurf : ，OpenAI 想進軍 Vibe Coding AI IDE，Windsurf

漏洞

1. golang.org/x/crypto Vulnerable to Denial of Service (DoS) via Slow or Incomplete Key Exchange: CVSS : 7.5，PATCH
2. golang.org/x/net : CVE-2025-22872，CVSS : 6.5，當分詞器（tokenizer）遇到未加引號且以斜線（/）結尾的屬性值時，會錯誤地將該標籤解析為自我關閉（self-closing）標籤。當直接使用分詞器時，這會導致這類標籤被錯誤地標記為自我關閉
3. Nessus Version 10.8.4 Fixes Multiple Vulnerabilities ：Risk Factor: High，third-party components (libxml2, expat) were found to contain vulnerabilities
4. WinZip  A Mark-of-the-Web (MotW) Bypass Vulnerability : CVE-2025-33028，CVSS; 6.1
5. 1. Affected Products WinZip versions 76.9 (Windows 64-bit) No fix available as of now
5. Synology DiskStation Manager (DSM) Missing Authorization : CVE-2025-1021，CVSS: 7.5，allows remote attackers to read arbitrary files via unspecified vectors
6. pgAdmin 4 Vulnerable to Cross-Site Scripting (XSS) via Query Result Rendering ：CVE-2025-2946，CVSS:9.1，pgAdmin <= 9.1 is affected by a security vulnerability with Cross-Site Scripting(XSS)
7. pgAdmin 4 Vulnerable to Remote Code Execution : CVE-2025-2945，CVE 9.9，affects pgAdmin 4: before 9.2
8. 微軟4月安全更新中修補的CLFS零時差漏洞用於勒索軟體攻擊 :
   - 134 個漏洞 (1 個已遭惡意利用的零時差漏洞) 此次更新修補了 11 個「重大（Critical）」等級的遠端程式碼執行漏洞
   - CVE-2025-29824，CVSS 7.8。 已被用於實際攻擊行動。這項漏洞存在於通用事件記錄檔案系統（ Common Log File System, CLFS），為權限提升漏洞，起因是CLFS驅動程式具有記憶體釋放後再存取使用（Use After Free，UAF）弱點，取得授權的攻擊者有機會於本機提升權限為SYSTEM
   - Windows 安裝程式中的 CVE-2025-27727（CVSS風險評分：7.8）、Microsoft Office 中的 CVE-2025-29792（CVSS風險評分：7.3）
9. Oracle Database Server 安全漏洞 : CVE-2025-30736，Oracle Critical Patch Update Advisory - April 2025 CVSS: 7.4 ,
10. 1. 1. Oracle VM VirtualBox 安全漏洞 : CVE-2025-30712 CVSS: 8.1

AI 動態

1. google Agent2Agent Protocol (A2A) :  AI Agents 是不同公司開發的，都可以用這個協定來合作
   MCP : AI Agents 怎麼找到需要的工具、資料
   A2A : 不同 AI Agents 之間怎麼溝通合作
2. 前 OpenAI 研究員團隊發表了 AI 2027 ：預測接下來各領域的 AI 發展
3. 14歲印度天才開發 AI心臟病檢測程式 : 7秒識別、準確率96%　震驚全球醫界 :
4. 1. App Name：CircadiaV 開發者獲Oracle 和 ARM 認證
   2. 應用程式能夠透過智能手機錄製的心音，在短短7秒內檢測出心臟病，其診斷準確率更高達96%
   3. 找不到發佈在哪裡所以不知道怎麼測試 ?
4. 2025 台灣產業 AI 化大調查暨 AI 落地指引
5. 北京舉辦人形機器人半馬比賽 : TK Ultra 2h40min完成比賽，期間需要更換 3 次電池
6. Formosa-1台灣首個手機端 3B 繁中推理模型，APMIC 攜手 Twinkle AI 打造
7. MediaTek Research 與台灣大學李宏毅教授團隊共同開發的 TASTE (Text-Aligned Speech Tokenization and Embedding) 技術今日正式發表，為語音與大型語言模型的整合帶來重大突破。透過將語音標記與文字直接對齊，解決了長期以來語音與文字模態不匹配的關鍵問題，同時在極低的位元率下實現高品質語音重建，為下一代會說話的 AI 奠定基礎

科技動態

1. 蘋果推出 網頁版「地圖」